第一篇：第七屆信息安全漏洞分析與風險評估大會（最終版）

第七屆信息安全漏洞分析與風險評估大會

（VARA 2014）在湖南召開

2014年10月16日，中國信息安全測評中心主辦的第七屆信息安全漏洞分析與風險評估大會（VARA 2014）在湖南長沙召開。本次大會由中南大學與華中測評中心聯(lián)合承辦，清華大學等單位協(xié)辦，會議以“促進安全，保障發(fā)展”為主題，繼續(xù)秉承“權(quán)威高端、學術(shù)前沿、產(chǎn)業(yè)應用”的宗旨，面向國家信息安全保障發(fā)展與技術(shù)進步，圍繞信息安全漏洞分析與風險評估、新技術(shù)新應用安全、工業(yè)控制系統(tǒng)安全、網(wǎng)絡(luò)安全積極防御等信息安全領(lǐng)域的重點問題，進行了廣泛深入交流。與會代表分享了相關(guān)領(lǐng)域在理論、方法、技術(shù)、標準和實踐等方面的最新成果與研究進展。

本次會議共有信息安全領(lǐng)域院士、專家、知名學者，相關(guān)部門領(lǐng)導，信息安全研究機構(gòu)，高等院校，行業(yè)用戶以及信息安全產(chǎn)業(yè)界嘉賓600余人到會交流。

中國信息安全測評中心領(lǐng)導在致辭中表示，要處理好安全與發(fā)展的關(guān)系，提高對漏洞和隱患危害性的認識，并提出盡快啟動“國家級信息安全漏洞消減計劃”、“建立法制化、規(guī)范性的風險評估制度”，“以創(chuàng)新提高漏洞和風險管控能力”的三點倡議。參會院士圍繞漏洞分析、自主可控等相關(guān)信息安全問題進行了精彩發(fā)言。相關(guān)部門領(lǐng)導介紹了國家在加強網(wǎng)絡(luò)安全管理、提升安全保障能力方面的重點工作。

圍繞大會主題，本次會議設(shè)置了信息安全漏洞分析、風險評估、工控安全和信息安全積極防御等四個分會場，展開專題研討，從多角度、多層面反映了漏洞分析新技術(shù)和新方法，展現(xiàn)了各種網(wǎng)絡(luò)與系統(tǒng)環(huán)境下風險評估的新思路，溝通了工控系統(tǒng)信息安全技術(shù)發(fā)展與測評工作的新進展，從更寬的視野探討了信息安全積極防御的新舉措。

作為信息安全領(lǐng)域業(yè)界專家、學術(shù)研究人員和政府、行業(yè)及用戶交流的重要平臺，信息安全漏洞分析與風險評估大會為及時、全面反映我國在信息安全漏洞分析和風險評估領(lǐng)域的創(chuàng)新成果和研究能力，探索國家信息安全保障新思路、新方法，推動信息安全技術(shù)進步，促進信息安全保障水平提升正發(fā)揮著愈來愈重要的作用。

第二篇：環(huán)境風險評估分析

環(huán)境衛(wèi)生風險評估

1、加強行風建設(shè)，提高服務(wù)質(zhì)量

要抓好環(huán)衛(wèi)工作，必須有一支高素質(zhì)的環(huán)衛(wèi)隊伍，我們堅持以思想政治教育為本，結(jié)合學習江澤民同志三個代表重要思想和十六大精神大力開展職工教育，破除舊有思想，針對環(huán)衛(wèi)工作又臟又累。有些職工思想不穩(wěn)定的現(xiàn)實，讓廣大職工樹立正確的人生觀、世界觀、價值觀和擇業(yè)觀，做到“自尊、自強、自重、自省”。要求全體黨員要把先進性教育活動轉(zhuǎn)化為推動環(huán)衛(wèi)工作發(fā)展的動力，積極發(fā)揮先鋒模范作用。從而在全局上下形成了一種愛崗敬業(yè)、高效廉潔的工作作風，使我們的服務(wù)質(zhì)量有很大提高。

2、對環(huán)境空氣影響的主要因子有哪些

（1）主要是豬場糞便及尿液揮發(fā)的惡臭及惡臭氣體，包括硫化氫、氨、糞臭素等。

3、在影響分析與評價中，除水環(huán)境影響、環(huán)境空氣影響外，還應關(guān)注哪些方面

（1）關(guān)注以糞便為主的固體廢物處理不當?shù)奈廴締栴}；

（2）關(guān)注可能發(fā)生疫情的問題，或疫情發(fā)生時的應急處理；

（3）關(guān)注蚊蠅孳生等公共衛(wèi)生問題對環(huán)境及人體健康的影響；

（4）關(guān)注施工期&無疑考試網(wǎng)&的生態(tài)影響。

4、豬場糞便處理是否存在問題

（1）糞便由附近農(nóng)民拉走肥田雖然是一種處置方案，但存在不能及時拉走或不能完全拉走而造成污染的問題。

（2）建設(shè)單位應采取措施徹底解決糞便污染，選擇應急安全衛(wèi)生填埋場或處置場所。

5、養(yǎng)豬場工作人員衛(wèi)生風險及疾病

養(yǎng)豬場工作人員輪狀病毒的陽率為21．62％，符合輪狀病毒在人群中分布的一般規(guī)律。本次調(diào)查發(fā)現(xiàn)人、豬輪狀病毒隱性感染的情況很相似，在21．62％至21．82％之間。有報道A組輪狀病毒可從人和多種動物檢出，提示有人畜共患的可能［2］。本病既然為人畜共患病，則人畜皆可為宿主，均可作為傳染源，值得流行病學工作者的重視。

調(diào)查還發(fā)現(xiàn)，在養(yǎng)豬場工作2～3年的工作人員的輪狀病毒陽性率（41．18％）高于在養(yǎng)豬場工作1～2年和3年以上工作人員的輪狀病毒陽性率（分別為16．67％和15．38％），造成這種差別的原因，可能與人群的暴露程度及免疫狀況有關(guān)。究竟是何原因，有待進一步探討

第三篇：信息安全風險評估服務(wù)

1、風險評估概述

1.1風險評估概念

信息安全風險評估是參照風險評估標準和管理規(guī)范，對信息系統(tǒng)的資產(chǎn)價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風險管理措施的過程。當風險評估應用于IT領(lǐng)域時，就是對信息安全的風險評估。風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術(shù)操作，逐漸過渡到目前普遍采用國際標準的BS7799、ISO17799、國家標準《信息系統(tǒng)安全等級評測準則》等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點、以威脅為觸發(fā)因素、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。

1.2風險評估相關(guān)

資產(chǎn)，任何對組織有價值的事物。

威脅，指可能對資產(chǎn)或組織造成損害的事故的潛在原因。例如，組織的網(wǎng)絡(luò)系統(tǒng)可能受到來自計算機病毒和黑客攻擊的威脅。

脆弱點，是指資產(chǎn)或資產(chǎn)組中能背威脅利用的弱點。如員工缺乏信息安全意思，使用簡短易被猜測的口令、操作系統(tǒng)本身有安全漏洞等。

風險，特定的威脅利用資產(chǎn)的一種或一組薄弱點，導致資產(chǎn)的丟失或損害餓潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風險評估，對信息和信息處理設(shè)施的威脅、影響和脆弱點及三者發(fā)生的可能性評估。風險評估也稱為風險分析，就是確認安全風險及其大小的過程，即利用適當?shù)娘L險評估工具，包括定性和定量的方法，去頂資產(chǎn)風險等級和優(yōu)先控制順序。

2、風險評估的發(fā)展現(xiàn)狀

2.1信息安全風險評估在美國的發(fā)展

第一階段（60-70年代）以計算機為對象的信息保密階段

1067年11月到1970年2月，美國國防科學委員會委托蘭德公司、邁特公司（MITIE）及其它和國防工業(yè)有關(guān)的一些公司對當時的大型機、遠程終端進行了研究，分析。作為第一次比較大規(guī)模的風險評估。特點：

僅重點針對了計算機系統(tǒng)的保密性問題提出要求，對安全的評估只限于保密性，且重點在于安全評估，對風險問題考慮不多。第二階段（80-90年代）以計算機和網(wǎng)絡(luò)為對象的信息系統(tǒng)安全保護階段

評估對象多為產(chǎn)品，很少延拓至系統(tǒng)，嬰兒在嚴格意義上扔不是全面的風險評估。

第三階段（90年代末，21世紀初）以信息系統(tǒng)為對象的信息保障階段

隨著信息保障的研究的深入，保障對象明確為信息和信息系統(tǒng)；保障能力明確來源于技術(shù)、管理和人員三個方面；逐步形成了風險評估、自評估、認證認可的工作思路。2.2我國風險評估發(fā)展

● 2002年在863計劃中首次規(guī)劃了《系統(tǒng)安全風險分析和評估方法研究》課題

● 2003年8月至2010年在國信辦直接指導下，組成了風險評估課題組

● 2004● 2005年，國家信息中心《風險評估指南》，《風險管理指南》 年全國風險評估試點

● 在試點和調(diào)研基礎(chǔ)上，由國信辦會同公安部，安全部，等起草了《關(guān)于開展信息安全風險評估工作的意見》征求意見稿

● 2006年，所有的部委和所有省市選擇1-2單位開展本地風險評估試點工作

● 2015年，國家能源局根據(jù)《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（國家發(fā)展和改革委員會令2014年第14號）制定了《電力監(jiān)控系統(tǒng)安全防護總體方案》（國能安全[2015]36號）等安全防護方案和評估方案，其中相關(guān)規(guī)定明確風險評估在電力系統(tǒng)中的需要

● 2017年7月，《中華人民共和國網(wǎng)絡(luò)安全法》頒布，其中第二章第十七條“國家推進網(wǎng)絡(luò)安全社會化服務(wù)體系建設(shè)，鼓勵有關(guān)企業(yè)、機構(gòu)開展網(wǎng)絡(luò)安全認證、檢測和風險評估等安全服務(wù)”。明確了需要社會廣泛參與服務(wù)。

3、風險評估要素關(guān)系模型

4、風險評估流程

● 確定資產(chǎn)評估范圍 ● 資產(chǎn)的識別和影響 ● 威脅識別 ● 脆弱性評估 ● 威脅分析 ● 風險分析 ● 風險管理

5、風險評估原則

● 符合性原則 ● 標準性原則 ● 規(guī)范性原則

● 可控性原則 ● 保密性原則

● 整體性原則 ● 重點突出原則 ● 最小影響原則

6、評估依據(jù)的標準和規(guī)范

? GB/T 20984-2007 《信息安全技術(shù) 信息安全風險評估規(guī)范》 ? 《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委14號令）

? 《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》（國能安全[2015]36號）

? GB/T 18336-2001 《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》

? ISO/IEC 27001:2005《信息安全管理體系標準》

? GB/T 22239-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》

? GB/T 22240-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》

? GB/T 25058-2010 《信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南》

? 《電力行業(yè)信息安全等級保護基本要求》（電監(jiān)信息[2012]62號）? 《關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知》（電監(jiān)信息[2007]34號）

? 《電力行業(yè)信息系統(tǒng)等級保護定級工作指導意見》（電監(jiān)信息[2007]44號）

7、風險評估的發(fā)展方向

8.1風險評估行業(yè)發(fā)展方向

從2003年7月至今，我國信息安全風險評估工作大致經(jīng)歷了三個階段，即調(diào)查研究階段、標準編制階段和試點工作階段。

歷時兩年、經(jīng)過調(diào)查研究、標準編制和試點工作三個階段，目前，我國信息安全風險評估工作已取得階段性的成果，此間也是《關(guān)于開展信息安全風險評估工作的意見》政策文件，以及《信息安全風險評估指南》和《信息安全風險管理指南》兩項標準歷經(jīng)醞釀、形成到不斷完善的三個時期。

信息安全風險是人為或自然的威脅利用系統(tǒng)存在的脆弱性引發(fā)的安全事件，并由于受損信息資產(chǎn)的重要性而對機構(gòu)造成的影響。而信息安全風險評估，則是指依據(jù)國家風險評估有關(guān)管理要求和技術(shù)標準，對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。通過對信息及信息系統(tǒng)的重要性、面臨的威脅、其自身的脆弱性以及已采取安全措施有效性的分析，判斷脆弱性被威脅源利用后可能發(fā)生的安全事件以及其所造成的負面影響程度來識別信息安全的安全風險。

信息安全風險評估是信息安全保障體系建立過程中的重要的評價方法和決策機制。沒有準確及時的風險評估，將使得各個機構(gòu)無法對其信息安全的狀況做出準確的判斷。所以，所謂安全的信息系統(tǒng)，實際是指信息系統(tǒng)在實施了風險評估并做出風險控制后，仍然存在可被接受的殘余風險的信息系統(tǒng)。因此，需要運用信息安全風險評估的思想和規(guī)范，對信息系統(tǒng)展開全面、完整的信息安全風險評估。

信息安全風險評估在信息安全保障體系建設(shè)中具有不可替代的地位和重要作用。風險評估既是實施信息系統(tǒng)安全等級保護的前提，又是信息系統(tǒng)安全建設(shè)和安全管理的基礎(chǔ)工作。通過風險評估，能及早發(fā)現(xiàn)和解決問題，防患于未然。當前，尤其迫切需要對我國信息化發(fā)展過程中形成的基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)進行持續(xù)的風險評估，隨時掌握我國重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)的安全狀態(tài)，及時采取有針對性的應對措施，為建立全方位的國家信息安全保障體系提供服務(wù)。通過風險評估可以有助于認清信息安全環(huán)境和信息安全狀況，明確信息化建設(shè)中各級的責任，采取或完善更加經(jīng)濟有效的安全保障措施，保證信息安全策略的一致性和持續(xù)性，并進而服務(wù)于國家信息化發(fā)展，促進信息安全保障體系的建設(shè)，全面提高信息安全保障能力。其意義具體體現(xiàn)在于：風險評估是信息安全建設(shè)和管理的關(guān)鍵環(huán)節(jié)，它是需求主導和突出重點原則的具體體現(xiàn)，是分析確定風險的過程，加強風險評估工作是信息安全工作的客觀需要。

國家信息安全風險評估政策文件和標準的即將出臺與頒布將為我國信息安全風險評估工作的開展提供科學的政策和技術(shù)依據(jù)。相信在未來，我國信息安全風險評估的政策思路、標準規(guī)范、實踐經(jīng)驗將會有進一步提升。

8.2公司自身的發(fā)展方向

就當前公司而言，最緊要的是對于信息安全風險評估資質(zhì)的申請，和人員技術(shù)的培訓。依托現(xiàn)有的省公司調(diào)度自動化處的合作，促進與新型能源企事業(yè)合作，大力開展光伏電站入網(wǎng)前的安全防護檢查與檢測，同時拓展到風電、水電和火電的并網(wǎng)后的定期檢查。在這個方面，我司現(xiàn)在的業(yè)務(wù)水平尚有欠缺，技術(shù)方面還有不足。因此現(xiàn)在在面臨這行業(yè)蓬勃發(fā)展的前提下，我們要在資質(zhì)和技術(shù)上雙管齊下。另外，在正式介入這個行業(yè)后，我們不能只局限于和電廠的合作，更應該面向整個社會，提高社會參與度。據(jù)河南同樣類型的企業(yè)，其在2017年一月至2017年七月營業(yè)額同比增長200%。在當前情況下信息安全風險評估無疑是巨大的一塊蛋糕。越來越多的企業(yè)都在信息化、網(wǎng)絡(luò)化，意味著這塊蛋糕的體積還在不斷地增加。所以我們應該把握時機。充分利用已有的資源，搶占市場，占據(jù)優(yōu)勢地位。

第四篇：信息安全風險評估管理辦法

信息安全風險評估管理辦法

第一章 總 則

第一條 為規(guī)范信息安全風險評估（以下簡稱“風險評估”）及其管理活動，保障信息系統(tǒng)安全，依據(jù)國家有關(guān)規(guī)定，結(jié)合本省實際，制定本辦法。

第二條 本省行政區(qū)域內(nèi)信息系統(tǒng)風險評估及其管理活動，適用本辦法。

第三條 本辦法所稱信息系統(tǒng)，是指由計算機、信息網(wǎng)絡(luò)及其配套的設(shè)施、設(shè)備構(gòu)成的，按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的運行體系。

本辦法所稱重要信息系統(tǒng)，是指履行經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)職能的信息系統(tǒng)。

本辦法所稱風險評估，是指依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息網(wǎng)絡(luò)和信息系統(tǒng)及由其存儲、傳輸、處理的信息的保密性、完整性和可用性等安全屬性進行評價的活動。第四條 縣以上信息化主管部門負責本行政區(qū)域內(nèi)風險評估的組織、指導和監(jiān)督、檢查。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的重要信息系統(tǒng)的風險評估，可以由其行業(yè)管理部門統(tǒng)一組織實施。

涉密信息系統(tǒng)的風險評估，由國家保密部門按照有關(guān)法律、法規(guī)規(guī)定實施。第五條 風險評估分為自評估和檢查評估兩種形式。自評估由信息系統(tǒng)的建設(shè)、運營或者使用單位自主開展。檢查評估由縣以上信息化主管部門在本行政區(qū)域內(nèi)依法開展，也可以由信息系統(tǒng)建設(shè)、運營或者使用單位的上級主管部門依據(jù)有關(guān)標準和規(guī)范組織進行，雙方實行互備案制度。第二章 組織與實施

第六條 信息化主管部門應當定期發(fā)布本行政區(qū)域內(nèi)重要信息系統(tǒng)目錄，制定檢查評估實施計劃，并對重要信息系統(tǒng)管理技術(shù)人員開展相關(guān)培訓。

第七條 江蘇省信息安全測評中心為本省從事信息安全測評的專門機構(gòu)，受省信息化主管部門委托，具體負責對從事風險評估服務(wù)的社會機構(gòu)進行條件審核、業(yè)務(wù)管理和人員培訓，組織開展全省重要信息系統(tǒng)的外部安全測試。第八條 信息系統(tǒng)的建設(shè)、運營或者使用單位可以依托本單位技術(shù)力量，或者委托符合條件的風險評估服務(wù)機構(gòu)進行自評估。

第九條 重要信息系統(tǒng)新建、擴建或者改建的，在設(shè)計、驗收、運行維護階段，均應當進行自評估。重要信息系統(tǒng)廢棄、發(fā)生重大變更或者安全狀況發(fā)生重大變化的，應當及時進行自評估。

第十條 本省行政區(qū)域內(nèi)信息系統(tǒng)應當定期開展風險評估，其中重要信息系統(tǒng)應當至少每三年進行一次自評估或檢查評估。在規(guī)定期限內(nèi)已進行檢查評估的重要信息系統(tǒng)，可以不再進行自評估。

第十一條 縣以上信息化主管部門委托符合條件的風險評估服務(wù)機構(gòu)，對本行政區(qū)域內(nèi)重要信息系統(tǒng)實施檢查評估。第十二條信息系統(tǒng)的建設(shè)、運營或使用單位委托風險評估服務(wù)機構(gòu)開展自評估,應當簽訂風險評估協(xié)議；信息化主管部門委托開展檢查評估，受委托的風險評估服務(wù)機構(gòu)應當與被評估單位簽訂風險評估協(xié)議。

對于評估活動可能影響信息系統(tǒng)正常運行的，風險評估服務(wù)機構(gòu)應當事先告知被評估單位，并協(xié)助其采取相應的預防措施。

第十三條 風險評估應當出具評估報告。評估報告應當包括評估范圍、內(nèi)容、依據(jù)、結(jié)論和整改建議等。

風險評估服務(wù)機構(gòu)出具的自評估報告，應當經(jīng)被評估單位認可，并經(jīng)雙方部門負責人簽署后生效。

風險評估服務(wù)機構(gòu)出具的檢查評估報告，應當報委托其開展評估的主管部門審定；主管部門應當自收到評估報告之日起10個工作日內(nèi)，將審定結(jié)果和整改意見告知被評估單位。第十四條 自評估單位應當根據(jù)自評估報告進行整改，并自報告生效之日起30日內(nèi)，將自評估情況和整改方案報本級信息化主管部門備案。

接受檢查評估的單位應當自收到檢查評估報告之日起30日內(nèi)，根據(jù)整改建議提出整改方案、明確整改時限，報本級信息化主管部門備案。

受委托進行風險評估的服務(wù)機構(gòu)應當指導被評估單位開展整改，并對整改措施的有效性進行驗證。第十五條 信息化主管部門應當定期公布已開展自評估、檢查評估單位備案名單，督促未備案單位開展自評估。

第十六條 未發(fā)生重大變更的重要信息系統(tǒng)再次進行風險評估的，可以參考前次評估結(jié)果，重點評估以下內(nèi)容：

（一）前次風險評估發(fā)現(xiàn)的主要問題及整改情況；

（二）核心網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全防護設(shè)施、應用軟件等系統(tǒng)關(guān)鍵部位發(fā)生局部變更后，可能出現(xiàn)的安全隱患；

（三）新的信息技術(shù)可能對信息系統(tǒng)安全造成的影響；

（四）其他需要重點評估的內(nèi)容。第三章 風險評估機構(gòu)

第十七條 在本省行政區(qū)域內(nèi)從事自評估服務(wù)的社會機構(gòu)，應當具備下列條件，并報經(jīng)其所在地省轄市信息化主管部門備案：

（一）依法在中國境內(nèi)注冊成立并在本省設(shè)有機構(gòu)，由中國公民、法人投資或者由其它組織投資；

（二）從事信息安全檢測、評估相關(guān)業(yè)務(wù)兩年以上，無違法記錄；

（三）專業(yè)評估人員不少于10人且均為中國公民，接受并通過相關(guān)培訓考核，無違法記錄；其中主要評估人員2人以上，具有由國家權(quán)威機構(gòu)認定的或由其它機構(gòu)認定的相當水平的信息安全服務(wù)資格，具備獨立實施風險評估的技術(shù)能力;

（四）評估使用的技術(shù)裝備、設(shè)施符合國家信息安全產(chǎn)品要求；

（五）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等內(nèi)部管理制度；

（六）法律法規(guī)規(guī)定的其它條件。

第十八條 在本省從事檢查評估的社會機構(gòu)，除具備第十七條規(guī)定條件外，還應當同時具備下列條件，并經(jīng)其所在地省轄市信息化主管部門審核后，報省信息化主管部門備案：

（一）具有國家權(quán)威機構(gòu)認定的信息安全服務(wù)資質(zhì)；

（二）評估人員不少于20人，其中主要評估人員4人以上，具有國家權(quán)威機構(gòu)認定的或由其它機構(gòu)認定的相當水平的信息安全服務(wù)資格。

第十九條 省轄市以上信息化主管部門應當自收到備案申請報告之日起10個工作日內(nèi)，告知備案結(jié)果，并定期向社會公布本行政區(qū)域內(nèi)風險評估服務(wù)機構(gòu)備案名單，對其服務(wù)進行管理、監(jiān)督。

第二十條 從事風險評估服務(wù)的機構(gòu)，應當履行下列義務(wù)：

（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標準，提供科學、安全、客觀、公正的評估服務(wù)，保證評估的質(zhì)量和效果；

（二）保守在評估活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范安全風險，不得私自占有、使用或向第三方泄露相關(guān)技術(shù)數(shù)據(jù)、業(yè)務(wù)資料等信息和資源；

（三）對服務(wù)人員進行安全保密教育，簽訂服務(wù)人員安全保密責任書，并負責檢查落實。第四章 監(jiān)督管理

第二十一條 違反本辦法，有以下行為之一的，由信息化主管部門責令其限期改正，逾期不改正的，予以通報；對直接責任人員，由所在單位或上級主管部門視情給予行政處分：

（一）違反第九條、第十條規(guī)定，信息系統(tǒng)的建設(shè)、運營或者使用單位未按照規(guī)定開展自評估；重要信息系統(tǒng)的建設(shè)、運營或者使用單位不接受、不配合開展檢查評估的；

（二）違反第十四條規(guī)定，自評估單位未按照規(guī)定將自評估情況和整改方案、接受檢查評估單位未按照規(guī)定將整改方案報本級信息化主管部門備案的；

（三）違反第八條規(guī)定，信息系統(tǒng)的建設(shè)、運營或者使用單位委托不符合條件的機構(gòu)進行風險評估，并造成不良后果的。第二十二條 違反本辦法第十二條規(guī)定，風險評估服務(wù)機構(gòu)未事先告知被評估單位、協(xié)助其采取預防措施的，由信息化主管部門責令限期改正，并給予警告；造成不良后果的，可視情暫停其備案1年，直至取消其備案。

第二十三條 違反本辦法第二十條規(guī)定，風險評估服務(wù)機構(gòu)未經(jīng)許可向第三方提供被評估單位相關(guān)信息的，或者從事影響評估客觀、公正的活動的，由信息化主管部門視情暫停其備案一年，直至取消其備案。造成被評估單位經(jīng)濟損失的，應予合理賠償；從中不當獲利的，應予退還；構(gòu)成犯罪的，應依法追究其刑事責任。

第二十四條 信息化主管部門或其他有關(guān)部門工作人員有下列行為之一的，由其監(jiān)察部門或上級主管部門視情對相關(guān)責任人員給予行政處分；構(gòu)成犯罪的，依法追究刑事責任：

（一）利用職權(quán)索取、收受賄賂，或者玩忽職守、濫用職權(quán)的；

（二）泄露信息系統(tǒng)的運營、使用單位或者個人的有關(guān)信息、資料及數(shù)據(jù)文件的。第五章 附 則

第二十五條 本辦法自發(fā)布之日起施行，由省信息化主管部門負責解釋。

第五篇：流域洪水風險分析與定量評估

流域洪水風險分析與定量評估 引言

我國的洪澇災害從出現(xiàn)頻率、影響范圍到造成的損失都是世界最為嚴重的國家之一。據(jù)統(tǒng)計，在過去的2000多年中，中國發(fā)生的有史料可查的重大洪水災害就達1600余次。新中國成立以來，經(jīng)過40多年的治理，全國江河流域的防洪形勢有了重大改觀。但是，由于洪水的影響因素眾多和人類對自然界認知的局限性，目前尚無法從確定性的角度預知未來相當長時期內(nèi)洪水發(fā)生的確切時間和真實過程，加之經(jīng)濟條件的限制和出于環(huán)境方面的考慮，洪水災害目前還難以徹底防范或根本消除。近年來，隨著人口的持續(xù)增長和經(jīng)濟的迅猛發(fā)展，我國洪澇損失具有逐年增大的趨勢。在新形勢下，建立洪水風險的概念，使人們經(jīng)常認識到洪水發(fā)生的可能性和洪災的后果，將有助于機構(gòu)和個人更好地防范洪水災害。

洪水風險是指未來可能引起災害性后果洪水發(fā)生的概率或頻率，洪水風險圖則是對洪水風險及后果定量化和圖形化的體現(xiàn)。一般，洪水風險圖應該是三位一體的組合：

（1）流域洪水發(fā)生的頻率；

（2）流域類洪水的淹水區(qū)域分布及有關(guān)說明；

（3）洪水災害可能造成的各類損失。

洪水風險圖可以使人們更直觀地了解和認識到災難性洪水發(fā)生后可能的水文后果和災害損失概況，及時做好防御洪水的準備，以防患于未然。防洪決策人員可以對于流域重大的洪澇災害發(fā)生的原因和可能后果做到胸中有數(shù)，在災情即將發(fā)生或已經(jīng)發(fā)生時，能夠做到臨危不亂，迅速制定合理的調(diào)度方案和采取正確搶險救災措施，將洪災損失減少到最小程度。2 分析流域洪水淹沒狀況的方法

2.1 實際洪水法

實際洪水法的基本假定是流域自然地理特征保持基本不變條件下，洪水具有重現(xiàn)性。因此流域歷史上已經(jīng)發(fā)生過的大洪水實際淹沒實況，可以作為現(xiàn)在和未來同類洪水重現(xiàn)時的淹沒狀態(tài)。分析歷史洪水淹沒實況主要有以下幾種途徑：

（1）對于近期發(fā)生的洪水，利用流域?qū)崪y水文資料和災情資料可以較為可靠地分析洪水特性及相應的淹沒范圍、淹沒深度和淹沒時間。

（2）對于缺乏資料或年代較為久遠的洪水，可以通過調(diào)查考證的途徑[1]分析洪水發(fā)生時的淹沒情況。調(diào)查考證的內(nèi)容包括對沿洪水路徑洪痕調(diào)查，查閱有關(guān)洪澇災情的歷史文獻記載，走訪洪泛區(qū)居民等。

（3）洪水徑流是塑造地貌的重要外力，洪流的侵蝕、搬運和堆積作用形成的洪水地貌包括廢河道、天然沖積堤、沖積扇（洪積平原）、河漫灘（沖積平原）、沼澤地、三角洲等[2]。通過對洪水地貌分析，可以大致上分析出洪水徑流的強度、范圍和水深，作為分析淹沒實況的依據(jù)。

（4）對于河流早已改道遠古時代發(fā)生的大洪水，可以通過水文地質(zhì)地貌分析并結(jié)合水力學方法估計古洪水的水位和流量，近似推算古洪水重現(xiàn)時的淹沒情況。

實際洪水分析途徑主要適合于天然流域，一般不能估計流域城市化、防洪工程和防洪措施的效應。

2.2 水文學和水力學方法

水文學和水力學方法是根據(jù)流域現(xiàn)狀或規(guī)劃條件下土地利用特征和工程條件，采用水文學和水力學方法分析推求流域洪水泛濫后的淹沒狀況。目前國內(nèi)外流行的水文學和水力學方法和模型眾多，采用何種方法和模型應該針對流域水文地理特征、工程調(diào)度方式、資料條件以及計算精度來選擇應用。

（1）由設(shè)計暴雨推求設(shè)計洪峰或設(shè)計洪水過程線可以采用水文學方法，如推理方法、徑流系數(shù)折算法、先損后損法、下滲曲線法、降雨徑流相關(guān)圖法、蓄滿產(chǎn)流模型、超滲產(chǎn)流模型[5]等。

（2）由設(shè)計洪峰推求河道洪水位，可采用水面曲線法、回水曲線法、經(jīng)驗公式等。位于河道洪水位以下的區(qū)域可作為可能的洪水淹沒區(qū)域作進一步分析。

（3）由設(shè)計洪水過程線推求水位過程線，常用的水文學方法包括單位線法、等流時線法、抵償河長法、馬斯京根法、調(diào)蓄演算法[3]等。

（4）對于河網(wǎng)匯流或坡面漫流計算采用水力學方法比較合適，如一維非恒定流和二維非恒定流方法[4]，以及它們的簡化形式等。采用水力學方法可以根據(jù)分析要求推求河道或流域水深、流量、蓄水量的時空分布。

水文學和水力學方法計算結(jié)果頻率概念明確，可以分析和模擬土地利用、工程建設(shè)、調(diào)度方式、邊界條件變化情況下的洪水狀態(tài)，在洪水風險分析中應用較為廣泛。3 洪災損失統(tǒng)計評估

3.1流域社會和經(jīng)濟特征統(tǒng)計

對流域的社會和經(jīng)濟數(shù)據(jù)應分門別類進行統(tǒng)計或估算。各種資料來源應盡可能，可以采用當年或上本地區(qū)社會和經(jīng)濟統(tǒng)計年鑒。在有條件情況下，應該直接去當?shù)厥占钚潞透敿毜馁Y料，以滿足洪災損失估算的要求。需統(tǒng)計的基本資料包括：

（1）城鎮(zhèn)和村鄉(xiāng)人口、土地利用情況、耕地面積；

（2）各工礦企業(yè)固定資產(chǎn)和工業(yè)產(chǎn)值；

（3）農(nóng)、林、牧、副、漁業(yè)產(chǎn)值及固定資產(chǎn)；

（4）單位和居民固定資產(chǎn)；

（5）服務(wù)和社會性行業(yè)產(chǎn)值和固定資產(chǎn)；

（6）公路、鐵路、通信、供水、供氣等各類生命線的分布；

（7）參加洪水保險的企業(yè)、居民數(shù)和保險金額。

3.2洪災損失評估

一般，洪災損失評估內(nèi)容包括這樣幾個方面：

（1）災害影響的范圍和強度。范圍用面積或區(qū)域表示；災害強度定性為若干級，如特大、重大、大、中、小等；

（2）造成的經(jīng)濟損失。按工業(yè)損失、農(nóng)業(yè)損失、商業(yè)損失、居民損失、其它行業(yè)損失等分類統(tǒng)計，也可以分地區(qū)統(tǒng)計；

（3）生命線受害統(tǒng)計。所謂生命線系指交通系統(tǒng)、供電系統(tǒng)、供水系統(tǒng)、供氣系統(tǒng)、郵電系統(tǒng)等，一般可按系統(tǒng)中斷時間計；

（4）人員傷亡數(shù)目；

（5）環(huán)境污染及疾病傳播情況；

（6）社會影響。

經(jīng)濟損失評估是災情評估的主要內(nèi)容，但人員傷亡、水源污染、疾病流行、社會不安定、生命線受損影響等是無法用貨幣表示的無形損失，在評估過程中須單列考慮。

洪水災害所造成的經(jīng)濟損失包括直接損失和間接損失。直接損失主要是由于洪水直接淹沒所造成的集體及個人財產(chǎn)損失；間接損失指由于洪水期交通、電力中斷，廠房、設(shè)備受損等造成的產(chǎn)品成本增加及停產(chǎn)、誤工損失，以及合同無法按期完成的違約損失等，還包括防洪搶險、災民撤離、疾病防治、災后恢復等費用。由于對間接損失的詳細分析和精確估計是很困難的，一般是根據(jù)典型實例的調(diào)查結(jié)果或經(jīng)驗估計得出間接損失占直接損失的百分數(shù)來作為間接洪災損失估算的依據(jù)。

對于不同災區(qū)，由于地形地貌、經(jīng)濟狀況、季節(jié)、淹沒程度、搶救措施的差別，洪災損失是不同的。但對于確定地區(qū)，洪災損失的影響因素主要是淹沒程度。如果資料充足，能夠分區(qū)分類建立洪災損失與淹沒水深、淹沒歷時之間的相關(guān)系，則災情損失評估結(jié)果更為方便和可靠。洪水風險圖繪制

針對某一風險的洪水，根據(jù)分析和計算洪水淹沒的范圍、深度及相應的經(jīng)濟損失，按一定的規(guī)格描繪和標明在流域地形圖上，便得出洪水風險圖。

洪水風險圖采用大比例尺地形素圖勾繪而成，比例尺大小可根據(jù)流域面積、洪水頻率、淹沒范圍、資料條件以及精度要求而定。在勾繪洪水淹沒范圍的邊界時，要考慮洪水的可能路徑，結(jié)合地形情況，由比較熟悉當?shù)氐匦吻矣薪?jīng)驗的技術(shù)人員繪制，最好在實地查勘后進行。對可能淹沒區(qū)域，應設(shè)置彩色編碼區(qū)，其顏色及深淺可以表示淹沒深度的變化。風險圖上應標注重要部門和單位，如政府機關(guān)、大型廠礦企業(yè)、學校、醫(yī)院、金融機構(gòu)、居民區(qū)、村鎮(zhèn)，以及重要設(shè)施，水利工程，交通樞紐，通訊線路等。另外，圖上應明確標明緊急情況下人員轉(zhuǎn)移、疏散的路線及地點。圖的下方有專門說明框，簡要說明洪水風險圖的基本特性，包括暴雨洪水頻率、淹沒區(qū)域、淹沒水深、淹沒歷時、流域社會經(jīng)濟主要特征值、淹沒區(qū)經(jīng)濟損失評估結(jié)果等。另外還需說明風險圖上各種標記、代號的含義。

洪水風險圖繪制完成后，應出具一份編制說明，內(nèi)容主要包括：

（1）流域水文、氣象和地理特征，排水系統(tǒng)和水利工程概況，歷史上典型洪澇災害特點及后果；

（2）流域社會經(jīng)濟特征統(tǒng)計；

（3）分區(qū)域闡述風險圖上洪水災害的特點和性質(zhì)，災害后果和經(jīng)濟損失；

（4）洪水風險圖的制作依據(jù)、方法和存在問題；

（5）洪水風險發(fā)生時的應急措施；

（6）洪水風險圖的應用范疇；

（7）其它說明事項。

結(jié)語

流域洪水風險圖可以定量和直觀地描繪遭受洪水淹沒風險的區(qū)域和洪災造成的損失，屬流域非工程防洪措施之一。通過洪水風險圖提高了全民防洪意識，為各級政府指揮抗洪提供了決策依據(jù)，具有現(xiàn)實的社會效益和經(jīng)濟效益。

本文簡要論述和分析了適合于流域洪水風險圖編制的一些方法，側(cè)重討論了推求洪水淹沒狀態(tài)的若干途徑以及洪災損失統(tǒng)計評估的內(nèi)容。雖然其中的一些理論和方法還不夠成熟和完善，但出發(fā)點是希望有助于流域洪水風險圖編制工作的深入開展。今后將在洪水風險分析領(lǐng)域作進一步的研究工作。水庫防洪調(diào)度風險分析研究進展與發(fā)展趨勢

? 簡介：水庫防洪調(diào)度風險分析是極其復雜的多目標風險評價問題。在前人研究工作的基礎(chǔ)上，闡述了水庫防洪調(diào)度風險分析的含義，從水庫調(diào)度風險分析的特點、范圍、對象和規(guī)模上對其在國內(nèi)研究進展進行分析，進而對水庫防洪調(diào)度風險分析發(fā)展趨勢進行展望。

關(guān)鍵字：水庫,調(diào)度,防洪,風險分析 ?

由于洪水設(shè)計計算、洪水預報、水庫調(diào)度等諸方面存在眾多不確定性因素，在汛限水位抬高后，有可能導致水庫防洪運用過程中出現(xiàn)風險。為了實現(xiàn)興利效益與防洪目標的最佳結(jié)合，需對不同汛限水位相應的防洪風險進行分析，為防汛限制水位的正確選擇提供科學依據(jù)。

一、水庫防洪調(diào)度風險分析的含義

1．風險的含義

風險包括兩方面的含義：一是指風險意味著出現(xiàn)了損失，或者是未實現(xiàn)預期的目標值。二是指這種損失出現(xiàn)與否是一種不確定性現(xiàn)象，它可用概率表示出現(xiàn)的可能程度，而不能對出現(xiàn)與否做出確定性判斷。

2．水庫防洪調(diào)度風險的含義

有關(guān)水庫防洪調(diào)度風險的定義較多，概括起來，泛指在特定時空環(huán)境條件下，水庫防洪調(diào)度運用過程中所發(fā)生的非期望事件。

3．水庫防洪調(diào)度風險分析的含義

水庫防洪調(diào)度風險分析是指對水庫防洪調(diào)度中存在的各種風險進行識別、估計、評價，并在此基礎(chǔ)上優(yōu)化組合各種風險管理技術(shù)，作出風險決策。

二、水庫調(diào)度風險分析在國內(nèi)的研究現(xiàn)狀

20世紀80年代初，水庫運用風險問題在我國已經(jīng)引起重視，經(jīng)過20多年的研究，取得了一些成果。根據(jù)水庫防洪調(diào)度風險分析的特點、范圍、對象和規(guī)模的不同，可分以下幾個類型。

1．水庫來水預報風險分析

宋榜科等以柴河水庫為例，詳細地介紹了水庫雨情自動測報系統(tǒng)的風險分析方法，首次將“重現(xiàn)期法”“安全系數(shù)法”引進到水庫雨情自動測報系統(tǒng)的風險分析中。徐玉英等將改進的一次二階矩法應用于水庫洪水預報子系統(tǒng)的風險分析中，對水庫洪水預報子系統(tǒng)的風險做了定義和描述，并對風險率進行了定量計算。王本德等將標準風險評估方法應用到水庫洪水標準的風險分析中，并以柴河水庫為例說明水庫洪水標準的風險分析方法是可行的。

2．水庫調(diào)度風險分析

田峰巍等結(jié)合黃河干流水庫調(diào)度，對實施運用中的徑流用水預報值、誤差修正、風險決策等幾個關(guān)鍵問題進行了研究。馮平等根據(jù)風險決策理論，通過概率組合方法估算了水庫的實際防洪能力，然后與水庫的設(shè)計防洪標準進行比較，判斷水庫提高汛限水位的可能性，并通過風險效益的分析定量給出合理的汛限水位。黃強等針對水庫調(diào)度風險問題，著重探討了定量風險分析方法中的概率與數(shù)理統(tǒng)計分析法、模擬分析法、馬爾柯夫過程分析法和模糊數(shù)學分析法，引入了不同的風險決策方法。傅湘等以三峽水庫為研究對象，采用系統(tǒng)分析方法建立了水庫汛期限制水位的風險分析模型，幫助決策者作出符合科學原則的風險決策。

3．水庫防洪泄洪能力風險分析

徐祖信等提出了開敞式溢洪道水力設(shè)計中風險的計算模式，將JC法用于泄洪風險。鄭管平等綜合考慮了水文和水工方面的不確定因素對溢流壩泄洪能力的影響。姜樹海用JC方法進行了泄水構(gòu)件免空化概率極限設(shè)計的計算和分析。金明系統(tǒng)研究了水力不確定性在防洪泄洪系統(tǒng)風險分析中的作用。儲祥元以FOSM法進行參數(shù)估計，以MC法結(jié)合擬優(yōu)選擇的辦法求得泄流能力的最佳概率模型。姜樹海推導了調(diào)洪演算Ito方程，求解了與泄洪風險率緊密相關(guān)的庫水位過程的概率密度分布。朱元牲等就水庫安全設(shè)計與垮壩風險問題進行了研究，認為設(shè)計標準應因地而異和因時而異。楊白銀等研究了單一和梯級水庫兩種泄洪風險分析模式，將JC法引入水庫泄洪風險分析計算中。王長新等對泄洪消能風險計算的JC法和MC法進行了對比。姜樹海建立了漫壩失事的隨機模糊風險分析模型。熊明提出了大壩防洪安全風險計算的原則、方法及適用條件等。

4．水庫多目標風險分析

王本德等建立了水庫防洪實時風險調(diào)度模型，該模型考慮了水庫下游防洪效益與水庫風險兩個目標。1991年，國內(nèi)專家選用某水利工程防洪、發(fā)電、航運、建設(shè)投資和移民費用等作為該水利樞紐經(jīng)濟風險分析的基本風險變量，采用三角形分布求得基本風險變量的概率分布，然后用蒙特卡洛法推求該工程總體經(jīng)濟效益的概率分布。1995年，針對期望值方法的不足，將分區(qū)多目標風險分析方法應用到防洪系統(tǒng)的最優(yōu)規(guī)模決策之中，充分考慮了防洪安全、經(jīng)濟發(fā)展和洪災風險之間的關(guān)系，以利于正確優(yōu)選防洪體系和相應的規(guī)模。1998年結(jié)合水電工程的實際，建立了經(jīng)濟評價多目標風險分析模型，提出利用風險概念，結(jié)合改進后的ELECTRE-2方法，同時利用隨機優(yōu)選法結(jié)合線性分配法來求解上述模型，然后再用集結(jié)技術(shù)進行方案的最后排序，以利于好中取優(yōu)。

三、存在的不足及發(fā)展趨勢 經(jīng)過20多年的努力，水庫防洪調(diào)度風險分析研究取得了許多可喜的成果，但由于水庫調(diào)度系統(tǒng)結(jié)構(gòu)復雜，涉及面廣，影響因素眾多，無論在理論、方法上，還是在應用上都尚未達到完善的地步。

1．對多目標、多因素重視和研究不夠

目前水庫防洪調(diào)度風險分析只考慮單目標或單因素，造成水庫防洪調(diào)度風險分析的結(jié)果缺少客觀實用性。因此，今后在水庫防洪調(diào)度風險分析中，應綜合考慮多目標、多風險因素下對水庫防洪調(diào)度的影響，使風險分析的結(jié)果更好的指導水庫的實際運用。

2．未充分考慮主觀人為因素

在水庫防洪調(diào)度風險分析主要風險因素的識別中，只重視客觀因素，未充分考慮主觀的人為因素，造成分析結(jié)果不合理，不能合理有效地利用水資源。在眾多風險因素中，主觀人為因素是不可忽視的。因此，今后應充分研究主觀人為因素在風險分析中的概率分布，使主觀估計的量化更貼近實際，從而使風險分析更加全面、合理。

3．新的風險分析理論和方法應用不多

水庫防洪調(diào)度的風險分析方法一般分為定性分析法和定量分析法。定性分析法主要用于風險可測度很小的風險主體，常用的方法有調(diào)查法、矩陣分析法和德爾菲法。這類方法主要是借助于有關(guān)專家的知識、經(jīng)驗和判斷來對風險加以估計和分析。但在水庫調(diào)度中有些不確定性因素難以分析、計算，如調(diào)度決策和實施的不確定性等。定量風險分析方法是借助數(shù)學工具研究風險主體中的數(shù)量特征關(guān)系和變化，確定其風險率(或風險度)的方法。定量風險分析方法有許多，但歸納起來可分為概率論與數(shù)理統(tǒng)計方法、隨機模擬方法、馬爾柯夫過程方法、模糊數(shù)學方法等。這些方法應用于水庫調(diào)度系統(tǒng)時受到一定的限制。隨著科學技術(shù)的進步，各學科相互滲透，應把別的學科的科學成果引用過來，如人工神經(jīng)網(wǎng)絡(luò)——蒙特卡羅法、結(jié)構(gòu)分析法、耦合理論等，這些方法對于隨機現(xiàn)象、互相關(guān)聯(lián)、非線性等風險分析問題充分顯示了優(yōu)越性。在水庫防洪調(diào)度風險分析中應用這些新的理論和方法，不僅能促進這些方法本身的實際應用，同時也是對風險分析理論和實踐的有益探索。